Ich habe mich lange damit zurückgehalten diesen Beitrag hier zu posten weil ich es mir nicht zu leicht machen wollte.
Grundsätzlich, so glaube ich, habe ich die Funktion dieser "mach mal SSL Strategie" wohl nicht verstanden.
Ich weigere ich da wohl auch inhaltlich irgend etwas zu wurschteln damit das nur "irgendwie läuft". Man hat ja auch Ansprüche und möchte es verstehen.
Grundsätzlich muss ich auch den Sinn der öffentlichen Zertifikate da in Summe in Frage stellen. Irgend ein beliebiges Menschlein auf der Welt hat eine Firma aufgemacht und verkauft ein Zertifikat das dann über diese "Key-Verkäufer" Gruppen weltweit bekannt gemacht wird.
Deswegen kann der Zertifizierer doch noch ein größerer Haderlump sein als der Verbrecher der sich mit dem Zertifikat als glaubwürdig ausweist. Das ist doch in Summe nur Geldschneiderei.
Sinn und Zweck ist es doch das Datentransferverfahren sicher zu gestalten und offen gesagt ob da nun der dritte Haken bei der Anzeige des Zertifikates da fehlt und ob der Internetexplorer dabei rosa anläuft, das ist wohl inhaltlich lang wie breit....
Ein selbst kreiertes Zertifikat, man bekommt nur zwei Haken dran und dann steht irgendwelcher Müll von unsicher drin.
Was macht denn den Sachverhalt mit dritten Haken sicherer ?
Da grummelt es einfach in mir, aber ok, so ist die Welt eben und fertig.
Nun gut...
Wir betreiben einen Dominoserver Release 8.5FP1 auf einem Windows Server 2003. Application als auch Systemumgebung deutschsprachig.
Jetzt haben wir also die Notwendigkeit höherer Datensicherheit und damit einer Zertifzierungsstelle nebst eines Root Zertifikates und zu verteilender Schlüssel und die feste Überzeugung das ich mir als Zertifizierer selbst genüge.
Ich habe mir da verschiedene Treads hier durchgelesen, dabei auch zwischen den Zeilen gelesen das die Wenigsten (inkl. mir) verstehen was da wirklich abläuft und irgendwie kommt es mir so vor, als fordert das Leben von mir hier eine gewisse Grund-Demut und es beschleicht mich der Gedanke als ob ich, um zu der Erleuchtung zu kommen erst die sieben Gebote in Kantonesisch singen und dabei auf einem Bein hüpfen muss.
Bevor hier wieder jemand sagt wie toll da die Adminhilfe ist, Nein das ist sie, zumindest was diesen Vorgang des SSL meint deutlich
NICHT ! Es fehlt wie ÜBERALL der rote Faden und das was man darin findet ist mehr eine Zustandsbeschreibung des Moments als ein in einander greifender fester Bezug und Zusammenhang.
Dort wird punktuell nur beschrieben was zu tun ist. Entweder liegt es an meiner Beschränktheit oder das ist in Summe einfach nur ein Sch..ss Thema.
Als ich gerade in einem Beitrag gelesen habe, daß man die Keyring-Files nicht per Explorer sondern per Hand bzw. per Batch da ins Data-Verzeichniss kopieren sollte, weil man sich nicht sicher ist was da passiert und obendrein die Dinger bei einem Server-Neustart die Latenz haben zu verschwinden, da habe ich mich wirklich gefragt ob das dann noch normal ist.
Erschwerend kommt da sicherlich noch hinzu, daß die deutsche Adminhilfe da auch zweilen einfach mal irrt, weil die Übersetzung dann doch nicht so sauber gelaufen ist.
Ich habe mich hier in Summe nach den mehr oder weniger gut beschrieben Verfahren der Einrichtung der CA Stelle und den sich anschließenden Prozeduren gerichtet. Habe da meine "Domino Certificate Authority" auf Basis der "
cca50.ntf" gebaut und die ACL entsprechend angepasst.
Dann den Vorgang gestartet:
- CA Key erstellen
- CA Key konfigurieren
- Keyring Dateien erstellen
Bei letzterer Operation rülpst mich dann, beim erzeugen der Keyring-Files, nach Eingabe des CA´Key Passworts ein unfreundliches Fenster mit "Overflow" an.
Da kann man dann erst mal nur "AHA" sagen.
Die Files "
keyfile.kyr" (30KB) und "
keyfile.sth" (1KB) liegen dann trotz des undokumentierten Bäuerchens im Dataverzeichnis des Adminclients und gemäß Adminhilfe bzw. wie hier so häufig beschrieben kopiert man dann den Schrott so wie vorher die "
CAKey.kyr" ins Domino Data Verzeichnis.
Dann habe ich, versuchsweise, im Serverdokument unter Ports, SSL für HTTP, LDAP und IMAP aktiviert und dem Server einen Restart gegönnt.
Beim Start des Servers liest man dann "
Error reading server keyring 'X:\xxxxx\Lotus\Domino\data\keyfile.kyr' (Key not found in key ring)" und in mir etabliert sich das Gefühl das ich mit meiner SSL Absicht mal wieder voll gegen die Wand gelaufen bin.
Kann man das nicht mal auch einfach gestalten ?
Wo kann denn nun da der Fehler liegen ?
Ich denke meine Situation lässt sich so am besten beschreiben:
"Ich blicke zwar rein, aber nicht durch"
Es wäre nett wenn mir jemand da einmal den Schleier meiner eigenen Beschränktheit vom Kopf ziehen könnte.
Offen gesagt haben wir schon einen Domaincontroller auf Basis Server 2008 der wiederum auch der Meinung ist Chef der Root Zertifikate zu sein. Irgend wann dröhnt einem nur noch der Schädel. Dann haben wir noch eine SSL Solution die einem wiederum auch mit ihren Zertifkaten nötigt. Egal welcher Support es ist, sobald man das Thema SSL und Zertifikat anschneidet sagen die sogar bei ihren eigenen Produkten: "mach lieber ohne im Moment, die Entwickler haben da gerade eine Baustelle". Das was wohl jeder Hersteller hinbekommt ist irgendwo eine stolze Liste irgendwelcher Zertifikate in seine Applikation einzufügen. Das wars dann aber auch schon. Man kann seine eigenen Zertifkate hinzufügen die man dann erst mal wieder angestrengt darin suchen muss um abschließend mit der Erkenntnis beschenkt zu werden das es der Applicaton, der SSL Solution oder was auch immer in Summe vollkommen Tüte ist. Man kann auch nicht wirklich nachvollziehen welche Ebene Zertifikat man nun hat und den Vollzug, die Funktion des ganzen ergibt sich dann nur aus der Anwendung. Ergo ist das auch nur ein Gemache mit dem Charme "Versuch und Irrtum".
Kann man denn nicht auch mal einfach zertifikattechnisch sein eigenes Ding durchziehen und diese ganzen offengesagt besch... zu handhabenden Mittelchen und "Tools" umgehen und mal einfach so ein "GeradeAusDing" machen ? Etwas wo man mal nicht von hinten durch die Brust ins Auge stechen muss ?
Im Moment drehe ich mich da im Kreis. Ich weiß auch offen gesagt nicht ob es wirklich Sinn macht da für jede Applikation Root Zertifkate mit "25" Kennwörtern zu verwalten.
Schon wenn man da mal im Urlaub nur dran denken muss das bei der Rückkehr dann irgend ein Key den Löffel geworfen hat bekommt man schon einen Blutsturz.
Ein Root Zertifikat, eine Zertifizierungsstelle und der Rest dockt dort an und belästigt einen nicht mit irgendwelchen Verfahren die dann aus dem Ruder laufen, DAS wäre doch mal was.
Kann mich da jemand in meiner Denkweise verstehen und das nachvollziehen ?
Ich ärgere mich gerade über meine eigene Beschränktheit... Aber vielleicht ist das ganze Thema einfach auch nur komplett aus dem Ruder gelaufen und vollkommen überzogen.
Gruß
Stefan